[connect24h:2809] Re: port scan １回でも攻撃とみなすか？

[kobayasi@xxxxxxxxxxxxxxxxxxxx]

こばやしです

In message <20020215224829.0804c691.smoker@xxxxxxxxxxxxxxxxxx>
smoker@xxxxxxxxxxxxxxxxxx wrote:
 >> 検索エンジンと同様の方法をとっても、悪意ある者の作成したページによって
 >> 広域無差別 80 番 port probe をさせられる危険があるのでそれに対する対策
 >> は必要でしょう。

 >何時から仕様の話になったんでしょうか 笑
 >スキャンの合法性について語ってたのに何時の間にやら話が変わってるような

少なくとも私は「合法性」について議論していたつもりはないんですけど、もし
そう受け取れる表現がありましたらすみません。
あくまでも倫理的にどうかというつもりでした。

# ここで言う「倫理的」とは「open relay な mail server を見付けてそれを勝手
# に使っても違法じゃないけど、やっぱりやっちゃだめだよね」程度の意味です。

以前にも書きましたが、私はむしろこういったことに対する法規制には反対です。
興味本位での port scan が広まることによって法規制への動きが出ることを危惧
するが故に、やらないほうが良いのではと考えています。

また、いくつかのホストに散発的に probe があったぐらいでは気にする必要はない
というのは確かにそうだと思います。私が気になっているのは、address block を
機械的に総舐めにしてくるような場合です。

上の検索エンジン云々というというくだりは、(倫理的にまずいと私が考えている
ところの)セグメント総当り 80 番 port probe をせずに、なるべく多くの web 
server に関する統計をとるにはどうすれば良いのか、ということについて書いた
つもりです。

In message <20020215224335.00d3a62d.smoker@xxxxxxxxxxxxxxxxxx>
smoker@xxxxxxxxxxxxxxxxxx wrote:
 >もし私が管理者でLAN内から突然portscanが有れば間違い無く捜し出して小一時間
 >問い詰めたいですハイ

ここが良くわかりません。smoker さんは port scan は無視してもよいとお考えなの
ですよね。何故問い詰めるのでしょうか。

 >ただWAN側から一発portscanが有ったぐらいでは何もしません。

ここでの「一発」というのは、特定 port への address block 総当りも含まれるの
でしょうか。私だったらバックドア探索を疑いたくなるのですが。
その特定 port が 80 番の場合には web server 宛以外はフィルタしてしまえば良い
ですが、全部の port を塞げるとは限らないですよね。
-- 
KOBAYASHI Yoshiaki

--[PR]------------------------------------------------------------------
　
 　あの人気のPC、商品券などが・・・！！！
　
 お申込みは今すぐ→ http://www.freeml.com/ctrl/html/UserRegForm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp